6098 Letture

MS14-066, patch critica soprattutto in ambito server

In attesa di proporvi, come ogni mese, una disamina degli aggiornamenti di sicurezza rilasciati da Microsoft nel corso del "patch day" di novembre, ci pare opportuno richiamare l'attenzione su uno specifico bollettino appena diramato dal colosso di Redmond e contraddistinto dall'identificativo MS14-066.

Si tratta di una patch la cui tempestiva applicazione non può essere rimandata, soprattutto se si gestiscono macchine Windows Server (Windows Server 2003, 2008, 2008 R2, 2012 e 2012 R2).

L'aggiornamento MS14-066 consente infatti di risolvere una pericolosa vulnerabilità individuata in Schannel ossia nella libreria utilizzata in Windows che si occupa di gestire crittografia ed autenticazione, in particolare per ciò che riguarda le applicazioni HTTP.


Microsoft ha fatto presente, a caratteri cubitali, che la vulnerabilità sanabile mediante l'installazione dell'update MS14-066 può essere sfruttata da remoto e non richiede autenticazione. Il rischio, concreto, è che un aggressore remoto possa essere in grado di eseguire codice nocivo sul sistema Windows Server (o sugli altri sistemi Windows vulnerabili) semplicemente inviando un pacchetto dati confezionato "ad arte".

Il bollettino MS14-066 è scarno di dettagli tecnici: è probabile che Microsoft abbia preferito non fornire un aiuto ai malintenzionati. Il reverse engineering della patch MS14-066, tuttavia, è già partito: è quindi importante, per evitare di correre inutili rischi, provvedere subito all'installazione dell'aggiornamento.

  1. Avatar
    Michele Nasi
    13/11/2014 11:13:12
    Ciao Sampei, scusa se rispondo solamente adesso. Come riportato nell'articolo, la patch si riferisce sia ai sistemi server che ai client ma è su server che è essenziale! È ovvio che se installi un web server su un sistema client qual è ad esempio Windows 7 ed accetti connessioni in ingresso provenienti dall'esterno, la patch dovrebbe essere immediatamente installata.
  2. Avatar
    Sampei Nihira
    12/11/2014 14:35:21
    Questa falla è critica anche lato client: http://arstechnica.com/security/2014/11 ... patch-now/ Questa falla non patchata in XP comporta un ulteriore rischio ad usare I.E.8 e Safari con questo OS Windows dopo la fine del supporto esteso. Gli utenti sopratutto con XP,causa questa falla non patchata,ma ovviamente non solo, devono quindi orientarsi esclusivamente sui browser sotto: a) Chrome b) Firefox c) Opera (e quì occorre informarsi se dopo le versioni della "chromizzazione")
  3. Avatar
    WP Dario
    12/11/2014 11:16:53
    Buongiorno Michele, Avrei bisogno di un piccolo suggerimento: mi è capitato ieri sera (ma anche in passato) che dopo aver installato gli aggiornamenti di Windows su un PC Asus dove gira Windows 8.1 upedate, si verificano puntualmente malfunzionamenti della app Modern del Windows Store. Per la precisione ieri non riuscivo più ad aprire Mail, Calendario, Contatti e Microsoft Solitaire Collection; ho dovuto per ben due volte disinstallare queste app e reinstallarle nuovamente (a nulla è servito il tool apps.diagcab scaricato dal sito Microsoft). Da cosa può dipendere questo problema? grazie Dario
  4. Avatar
    Johannes
    12/11/2014 00:36:52
    Vista l'insistenza di Microsoft, e il suggerimento di Michele, ho deciso di installare subito le varie patch. Al momento tutto bene... Johannes
MS14-066, patch critica soprattutto in ambito server - IlSoftware.it